OSPF su vPC su Nexus7k

11

Sto cercando di aiutare un amico con alcuni problemi di Nexus.

La topologia è così:

Cat 3750 stack -> vPC -> 2x N7k -> LACP -> Fortigate cluster di firewall

Lo stack 3750 esegue OSPF su entrambi i Nexus. Le adiacenze sono aumentate. Da quello che ho letto questo non è un design supportato. La prevenzione del loop impedirebbe i pacchetti che arrivano su un Nexus ma che sono destinati a un altro e quindi attraversano il collegamento peer. Se questo traffico esce da un altro vPC, verrà bloccato a causa del meccanismo di prevenzione del loop.

In questo caso, tuttavia, i firewall (cluster) non sono collegati tramite vPC. La prevenzione del loop entrerà ancora in gioco?

Inoltre sono sorpreso che le adiacenze OSPF siano aumentate e sembrano funzionare. Tutti i percorsi sono presenti ma ci sono ancora problemi di raggiungibilità. Alcuni pacchetti OSPF verrebbero probabilmente inseriti nel collegamento peer. Vedo come questo potrebbe essere un problema per i pacchetti unicast che devono attraversare il peer link e quindi uscire da vPC nello stack che non è consentito.

Come verrà trattato il multicast. Immagino che dovrebbe essere ricevuto correttamente?

Quindi suppongo che dovrebbero forse attivare nuove interfacce che vengono invece instradate. O sarebbe possibile eseguire SVI che è punto-punto tra ciascun Nexus e lo stack?

— Daniel Dib
fonte

2

Puoi aiutarmi un po 'qui? Perché eseguono OSPF ma scrutano tutto con L2? Questo mi sembra molto controproducente. Se stai usando lo stack 3750 come router, perché non dovresti creare le porte L3 di uplink e consentire al routing di seguire il suo corso? Sembra un design molto più pulito che utilizza ancora tutti i tuoi collegamenti.

— bigmstone,

Ciao. Questa non è la mia rete ma sto aiutando qualcuno. Il motivo per cui eseguono sia L2 che L3 è che hanno intenzione di spostare il routing dal 3750 interamente e solo instradare sui Nexus. Fino a quando tutte le VLAN non sono state spostate, devono eseguire un mix di L2 e L3 sul Nexus, ma come ho scoperto ora non è un progetto supportato. Stanno cercando di creare un link L3 dedicato per ora fino a quando tutto non sarà migrato.

— Daniel Dib,

Qualche risposta ti è stata d'aiuto? in tal caso, dovresti accettare la risposta in modo che la domanda non continui a comparire per sempre, cercando una risposta. In alternativa, potresti fornire e accettare la tua risposta.

— Ron Maupin

8

Poiché i firewall non fanno parte di un vPC, non faranno parte della normale prevenzione del loop vPC.

La prevenzione del ciclo afferma solo che un pacchetto non può entrare nel collegamento peer se è destinato a uscire da un'altra porta abilitata per vPC.

Non sono troppo sicuro sul fronte multicast poiché non lo usiamo nel nostro ambiente e non ho davvero esaminato il suo comportamento sui 7K.

Di solito, se si sta eseguendo un protocollo di routing nello stack di switch, il progetto consigliato sarebbe di non averlo come membro di un vPC e usare semplicemente OSPF per offrire gli stessi vantaggi che vPC offre a L2.

— David Rothera
fonte

Grazie David! Sto cercando di capire in dettaglio cosa sta succedendo con OSPF. Le adiacenze sono aumentate e non ci sono problemi. L'hash sarà un problema perché alcuni pacchetti entreranno nel Nexus sbagliato. Posso vedere come i pacchetti unicast OSPF sarebbero un problema se immettesse Nexus errato perché il Nexus corretto non è riuscito a rispedirlo dal vPC. Strano però che il database sia correttamente popolato e che non ci siano sessioni di flapping o altro.

— Daniel Dib,

1

Dai un'occhiata a questo: http://bradhedlund.com/2010/12/16/routing-over-nexus-7000-vpc-peer-link-yes-and-no/

Potrebbe aiutarti :)

— Gustav Haraldsson
fonte

Ciao gustav Ho controllato solo quel link e alcune presentazioni di Cisco Live. Come so ora non è un design supportato a causa della prevenzione del loop. In questo caso il traffico sta uscendo da un collegamento non vPC sebbene non sia ancora sicuro al 100% del motivo per cui il traffico viene eliminato.

— Daniel Dib,

1

Quale modello di line card stai usando nel tuo telaio N7K? Serie M o serie F? È possibile che si verifichino alcuni accorgimenti all'interno dell'architettura di interconnessione sull'N7K se si utilizzano schede della serie F che sono dannose per il traffico indirizzato.

Inoltre, assicurati di avere un port-channel tra N7K per i vlans non vpc. I Vlan al cluster del firewall non devono attraversare il collegamento peer VPC. Se non hai un secondo port-channel tra gli N7K, questo potrebbe essere il tuo problema.

— Tony Kitzky
fonte

suggerimenti: considerare la possibilità di porre domande di chiarimento nei commenti sotto la domanda del PO. Certo, la domanda sembra piuttosto ampia e aperta, ma considera anche il tentativo di rispondere alle domande specifiche poste ... fornisci ulteriori chiarimenti e dettagli come ritieni opportuno.

— Craig Constantine,